块323还可以用于将用户身份信息发送给管理平台325。管理平台325还可以用于根据用户列表中的身份信息对用户身份信息进行对比识别。身份识别模块323还可以用于若通过识别,则调用主通道控制模块324。
[0075]在本实施例中,宿主机32还包括发送队列模块326。主通道321还可以用于与发送队列模块326建立通信。
[0076]图5为本发明虚拟桌面的身份识别和访问控制系统又一个实施例的结构示意图。以下结合图5对本虚拟桌面的身份识别和访问控制过程进行详细说明。
[0077]用户设备中设置有客户端51,宿主机中设置有虚拟桌面处理单元52。用户使用虚拟桌面53时,启动SPICE客户端511,SPICE客户端511将用户输入的用户名和密码发送给管理平台521,管理平台521访问用户列表522,如果用户身份正确,继续后续流程,否则终止流程。SPICE客户端511验证用户身份通过后,将用户身份信息(用户名和密码)发送给身份编码模块512进行编码,生成身份编码。编码发送模块513将身份编码通过客户端消息接口 523和主通道524,在主通道524初始化时发送给身份解析模块525,此时主通道初始化消息中代理程序的状态设置为关闭。身份解析模块525对主通道初始化消息中的身份编码进行解析,然后发送给身份识别模块526。身份识别模块526将接收到的身份信息发送给管理平台521,管理平台521访问用户列表522,进行对比识别。如果对比不通过,不对主通道状态进行操作,流程结束。身份对比通过,调用主通道控制模块527,主通道控制模块527将代理程序的当前状态设置为开放,主通道524和发送队列528建立通讯。桌面图像,输入信息,经由显示通道534、输入通道535及其他通道536,发送队列528,通过输入输出环529,服务端消息接口 530,虚拟设备接口 531在SPICE客户端511和虚拟桌面53之间相互传输,用户可以正常使用虚拟桌面53。由于虚拟桌面53为映射产生,图5中通过虚线框表示该虚拟桌面53。虚拟桌面53中包括有操作系统532和SPICE代理533。
[0078]本发明实施例提供的虚拟桌面的身份识别和访问控制方法及系统,采用虚拟桌面协议带内认证方式,将主通道初始化消息中的代理程序的当前状态默认设置为关闭,主通道初始化信息中新增用户信息编码,增加主通道控制模块,对主通道进行控制,弥补SPICE协议没有身份识别和访问控制的缺陷,增强SPICE协议的安全性,只有合法用户才能访问虚拟桌面,降低用户在使用基于SPICE协议的虚拟桌面过程中的安全风险。
[0079]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0080]本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
【主权项】
1.一种虚拟桌面的身份识别和访问控制方法,其特征在于,包括: 用户设备的身份编码模块将用户身份信息进行编码生成身份编码; 所述用户设备的编码发送模块将所述身份编码发送给所述宿主机的主通道; 所述主通道进行初始化处理,将主通道状态设置为关闭,生成携带有所述身份编码的主通道初始化消息,将所述主通道初始化消息发送给所述宿主机的身份解析模块; 所述身份解析模块对所述身份编码进行解析,得到所述用户身份信息; 所述宿主机的身份识别模块对所述用户身份信息进行识别,若通过识别,则调用所述宿主机的主通道控制模块; 所述主通道控制模块将所述主通道状态设置为开放。
2.根据权利要求1所述的方法,其特征在于,所述用户设备的身份编码模块将用户身份信息进行编码生成身份编码之前,所述方法还包括: 所述用户设备的客户端模块将所述用户身份信息发送给所述宿主机的管理平台;所述管理平台根据用户列表中的身份信息对所述用户身份信息进行对比识别,产生识别结果,将所述识别结果发送给所述客户端模块; 若所述识别结果为合法用户,则所述客户端模块将所述用户身份信息发送给所述身份编码模块。
3.根据权利要求2所述的方法,其特征在于,所述宿主机的身份识别模块对所述用户身份信息进行识别,若通过识别,则调用所述宿主机的主通道控制模块,具体包括: 所述身份识别模块将所述用户身份信息发送给所述管理平台; 所述管理平台根据所述用户列表中的身份信息对所述用户身份信息进行对比识别; 若通过识别,则所述身份识别模块调用所述主通道控制模块。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述主通道控制模块将所述主通道状态设置为开放之后,所述方法还包括: 所述主通道与所述宿主机的发送队列模块建立通信。
5.一种虚拟桌面的身份识别和访问控制系统,其特征在于,包括:用户设备和宿主机;所述用户设备包括身份编码模块和编码发送模块;所述宿主机包括主通道、身份解析模块、身份识别模块和主通道控制模块; 所述身份编码模块,用于将用户身份信息进行编码生成身份编码; 所述编码发送模块,用于将所述身份编码发送给所述主通道; 所述主通道,用于进行初始化处理,将主通道状态设置为关闭,生成携带有所述身份编码的主通道初始化消息,将所述主通道初始化消息发送给所述身份解析模块; 所述身份解析模块,用于对所述身份编码进行解析,得到所述用户身份信息; 所述身份识别模块,用于对所述用户身份信息进行识别,若通过识别,则调用所述主通道控制模块; 所述主通道控制模块,用于将所述主通道状态设置为开放。
6.根据权利要求5所述的系统,其特征在于: 所述用户设备还包括客户端模块,所述宿主机还包括管理平台; 所述客户端模块,用于将所述用户身份信息发送给所述宿主机的管理平台; 所述管理平台,用于根据用户列表中的身份信息对所述用户身份信息进行对比识别,产生识别结果,将所述识别结果发送给所述客户端模块; 所述客户端模块,还用于若所述识别结果为合法用户,则将所述用户身份信息发送给所述身份编码模块。
7.根据权利要求6所述的系统,其特征在于: 所述身份识别模块,还用于将所述用户身份信息发送给所述管理平台; 所述管理平台,还用于根据所述用户列表中的身份信息对所述用户身份信息进行对比识别; 所述身份识别模块,还用于若通过识别,则调用所述主通道控制模块。
8.根据权利要求5-7任一项所述的系统,其特征在于:所述宿主机还包括发送队列模块; 所述主通道,还用于与所述发送队列模块建立通信。
【专利摘要】本发明实施例公开了一种虚拟桌面的身份识别和访问控制方法及系统,其中,方法包括:身份编码模块将用户身份信息进行编码生成身份编码;编码发送模块将身份编码发送给主通道;主通道进行初始化处理,将主通道状态设置为关闭,生成主通道初始化消息;身份解析模块对身份编码进行解析,得到用户身份信息;身份识别模块对用户身份信息进行识别,若通过识别,则调用主通道控制模块;主通道控制模块将主通道状态设置为开放。本发明实施例可以弥补SPICE协议没有身份识别和访问控制的缺陷,增强SPICE协议的安全性,达到只有合法用户才能访问虚拟桌面的目的。
【IPC分类】G06F9-455, H04L9-32
【公开号】CN104717061
【申请号】CN201310671060
【发明人】龚德志, 石屹嵘, 雷俊智, 段勇, 闻剑峰, 黄诚斌, 王锦华
【申请人】中国电信股份有限公司
【公开日】2015年6月17日
【申请日】2013年12月11日